RenatoMartini.Net

Tag: cybersegurança (page 1 of 2)

Login & Senha: se o atalho fosse o caminho, ele seria o caminho

Nenhuma tecnologia é perfeita, absolutamente segura ou coisa que o valha, disso já sabemos e felizmente tornou-se lugar comum. Motores falham, equipamentos não funcionam, engrenagens por vezes deixam de responder, sistemas digitais saem do ar... Esperamos todavia que equipamentos em seus sistemas funcionem por padrão, tal é nossa expectativa. Dirigimo-nos ao caixa eletrônico esperando que ele responda e atenda nossos comandos.E que nos proteja ao evitar ataques que possam lesar seus usuários. A mais tradicional forma de acesso e identificação de sistemas é o uso da senha alfa-numérica em conjunto com uma identificação ou registro, (log in nada mais é que registrar-se), trata-se do malfadado par "login-senha". Nos últimos anos vimos centenas de vazamentos de arquivos onde estas senhas estavam armazenados. A resposta, veio em forma de endurecimento na escolha de senhas mais complexas, em detrimento da paciência dos usuários... Mas em nenhum dos casos tais exigências e controles na geração de senhas substitui a meu ver do uso combinado da biometria com a criptografia, na forma da infraestrutura de chaves públicas. O recente episódio aqui reportado pela Computer World, do vazamento de dados de 4 milhões de funcionários federais, apenas será mais um capítulo deste problema. O Brasil deve sempre fortalecer seus sistemas de informação, - às vezes o mais simples pode e deve ser contornado pelo mais robusto, o atalho é uma ilusão, o caminho mais longo é e sempre será o mais seguro.

EUA investigam vazamento de dados de 4 milhões de funcionários federais Notícia foi publicada pelo Wall Street Journal e confirmada pelo Departamento de Homeland Security. Hackers chineses são suspeitos Por James Niccolai - IDG News Service 04 de Junho de 2015 - 23h06 Os Estados Unidos confirmaram hoje que estão investigando um gigantesco vazamento de dados pessoais de funcionários públicos federais dos EUA. Segundo a informação, mais de 4 milhões de funcionários teriam tido informações expostas por um ataque de hackers, possivelmente chineses. A notícia foi publicada pelo The Wall Street Journal citando uma fonte anônima que descreveu o problema como sendo "um dos maiores roubos de dados governamentais já vistos". O ataque teria sido disparado contra o Departamento de Gestão de Pessoas (OPM), um escritório do governo federal responsável por contratar e reter funcionários governamentais. O mesmo escritório teria sofrido um outro ataque no ano passado, mas de diferente natureza aparentemente. O Departamento de Homeland Security confirmou a brecha de segurança, informando que dados do OPM e do Departamento do Interior foram comprometidos no início do mês de maio, segundo notícia publicada pela agência Associated Press. Segundo o Homelandy Security, o sistema que detectou o ataque chama-se Einstein. O FBI está investigando para determinar que agências federais foram afetadas, embora potencialmente possam ser todas elas, segundo a reportagem do jornal. -- Fonte: Computer World

 
Revisão v. 1.8b
 

Vazamento de senhas do Fisco canadense

O Estadão recentemente tratou do vazamento de informações no Fisco do Canadá, Dados da receita canadense são roubados através do Heartbleed, diz a nota. Heartbleed é (ou foi, considerando-se que já esta corrigido num fixbug) um bug que pode ser qualificado de grave, pois compromete a chave privada de um servidor, o que a rigor permitiria a o acesso aos dados guardados em servidores sem a posse de nenhum acesso privilegiado.

O vazamento de senhas do Fisco canadense se deu pelo fato do acesso irregular do seu site, possibilitar a invasão do armazenamento onde se encontram o "login/senha" de seus usuários.

Não se trata do apocalipse digital1, como por vezes pode parecer na mídia não especializada, mostra apenas que geralmente falhas de segurança estão na implementação da tecnologia e não necessariamente no protocolo em si. O SSL/TLS ainda servirá por longo tempo a infraestrutura da informação.

Dados da receita canadense são roubados através do Heartbleed Novecentos canadenses tiveram dados roubados a partir de falha de segurança nos bancos de dados da receita do país Por Agências 900 canadenses tiveram seus dados privados roubados da receita federal do país. FOTO: Reprodução OTTAWA – A receita federal do Canadá divulgou nesta segunda-feira,14, que dados privados de cerca de 900 pessoas foram roubados de seus sistemas como resultado de vulnerabilidades causadas pela falha “Heartbleed”. A falha permitiu o roubo de dados de seguro social e possivelmente outros dados, informou a Agência de Receita do Canadá (CRA). “Lamentavelmente, a CRA foi notificada por agências de segurança do Canadá sobre uma invasão aos dados dos contribuintes ocorrida durante um período de seis horas”, disse a CRA em comunicado. A CRA fechou o acesso a seus serviços online na última quarta-feira por causa da falha, presente em uma tecnologia de codificação largamente utilizada na Web e que representa um dos mais sérios problemas de segurança eletrônica descobertos nos últimos anos. / REUTERS

 
Revisão v. 1.0
 
  1. Mais informação pode ser consultada no site http://heartbleed.com/, de forma sucinta e objetiva. []

O básico do básico também pode ser complicado

"C'est moi le pitre maintenant. C'est un monde! Moi qu'ai le souci, la discrétion!" L.-F. Céline

Todo este debate sobre uma possível legislação para Internet no Brasil nos traz alguns pontos importantes de ensinamento, digamos assim. Impossível desconsiderar que estes debates quando se aplificam geralmente levam a distorções incríveis, que só tempo mostram em todas as suas implicações. Por isso, Oto Lara dizia que as discussões não trazem a luz, mas sim os perdigotos. Destaco tão-somente dois pontos.

(1) Assunto recorrentemente debatido no que se convencionou chamar Marco Civil é o da guarda de logs. Definamos, de antemão, e para o bom debate, e não o debate de surdos, o que são os tais logs. Log nada mais é do que um registro, por isso log in é registrar-se (ou conectar-se) numa Rede, e log out é desconectar-se. O log é portanto o registro geralmente ativo da transmissão de dados, de tráfego em si, que afeta uma ou mais redes computacionais. A sua guarda significa a possibilidade do administrador de redes acompanhar e avaliar sua rede, seja para um benchmark, seja para preparar uma modificação ou melhoria de hardware e, também, para avaliar o que fazer num incidente de rede. Assim, a produção e armazenamento de logs é algo básico e essencial, quase primário, para aquele que se ocupa de um rede de computadores. Diria mesmo que são dois passos essenciais, garantir que sua rede esteja sincronizada a uma fonte confiável de tempo e produzir e guardar logs de sua rede. Se um jovem administrador de redes não tiver vocação para isso, o melhor a fazer é mudar de profissão. Em outras palavras, para que não reste dúvidas: o administrador deve guardar os logs de sua rede, ou mude logo de profissão.

Simples log gerado pelo jnettop num OpenBSD

Simples log gerado pelo jnettop num OpenBSD

(2) Outro tema: a preservação de plataformas computacionais em nosso país. Tema urgente, que intervém a necessidade também de uma definição prévia. Não falamos somente de presença física do que se chama datacenters, ainda que também possam ser aí considerados. O Brasil deve priorizar a "localização" de suas plataformas computacionais. Sobretudo as estratégicas, a saber, todas e qualquer sistema criptográfico, de identificação com suas bases de dados, sistemas especialistas que orientem tomada de decisão, etc., devem estar integralmente localizados em nosso país. Claro que no mundo do software não basta a presença "física" de dados para que se tenha o domínio dos mesmos. Em suma, não basta cabos e circuitos, e memórias digitais onde podemos gravar bits, mas, sobretudo, o domínio do software e dos algoritmos envolvidos.

 
Revisão v. 1.0
 
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑